MINISTERUL EDUCATIEI,CULTURII SI CERCETARII

CENTRU DE EXCELENTA IN ENEGRETICA SI ELECTRONICA

CATEDRA “SISTEME INFORMATIONALE”

Studiul Individual NR. 4

la obiectul “Asistenta in securitatea retelelor de calculatoare”

Tema: Configurarea opțiunilor de securitate a comutatoarelor

A efectuat st. gr. - RC-0218 Burcovschi Dorin

A verificat profesorul Domenti Tudor

Chisinau 2021
Configurarea generală a rețelei locale
Când vorbim despre o rețea avansată de domiciliu sau despre o rețea profesională, este esențial
să aveți o segmentarea corectă a acestuia folosind VLAN-uri . Este absolut necesar să aveți un
router / firewall care are suport pentru VLAN-uri cu standardul 802.1Q, care este cel utilizat în
prezent, datorită acestui suport pentru VLAN-uri, putem configura o subrețea dedicată pentru
fiecare dintre VLAN-uri și permite sau refuza accesul între diferitele VLAN-uri pe care le avem .
O practică extrem de recomandată pentru a avea cea mai bună securitate posibilă într-o rețea este
au o subrețea și VLAN specifice pentru gestionarea diferitelor dispozitive a rețelei locale, adică a
comutatoarelor, a punctelor de acces WiFi pe care le avem și a controlerului WiFi prin software
sau hardware. Tot ceea ce este gestionarea, administrarea și monitorizarea diferitelor
echipamente de rețea ar trebui să fie conținut în acest VLAN.

Datorită routerelor / firewall-urilor cu suport VLAN, acesta ar putea fi configurat pentru a

împiedica accesul altor VLAN-uri la acest VLAN de gestionare, cu scopul ca nimeni să nu poată
accesa meniul de configurare web al diferitelor dispozitive, nici accesul nu va fi permis. prin
SSH sau efectuați pingul tipic. Adică, toate comunicările din restul subrețelor precum
„marketing”, „invitați”, „lucrători” nu vor avea acces la acest VLAN specific.

În mod implicit, în toate computerele (routerele, comutatoarele și AP-urile) ID-ul VLAN 1 este
VLAN-ul de administrare și administrare, acest ID VLAN este recomandat să-l schimbe din
punct de vedere al securității și să aplice listele corespunzătoare de control al accesului pentru a
permite sau refuza accesul. De exemplu, dacă folosim un router profesional precum DSR-
1000AC, putem configura ID-ul VLAN pe care îl dorim și putem utiliza o subrețea specifică,
restul comutatoarelor trebuie să se afle în această subrețea specifică.

Port-Securitate
Portul-Securitate caracteristica de securitate este responsabilă de gestionarea computerelor care
se conectează la o interfață fizică specifică a comutatorului, permițând următoarele:

Limitați numărul de adrese MAC care se pot conecta la acest port.

Permite doar adresele MAC care apar pe lista albă.
Port-Security este responsabil pentru protejarea portului, în plus, avem mai multe politici de
încălcare în cazul în care numărul de adrese MAC este depășit sau este conectată o adresă MAC
incorectă:

Închidere: portul poate fi închis automat, apoi administratorul va trebui să îl oprească manual sau
să aștepte un anumit timp până când revine singur. În funcție de comutator, vom avea mai multe
sau mai puține opțiuni.
Restricționare (restricționat): traficul adresei MAC care a încălcat politica aplicată este blocat,
crește contorul de încălcare pentru a verifica ce s-a întâmplat pe port.
Protejează (protejat): traficul adresei MAC care a încălcat politica aplicată este blocat, nu
mărește contorul.

Alte măsuri de securitate

Există alte măsuri de securitate în comutatoarele gestionabile care vor preveni alte atacuri asupra
rețelelor, mai jos, vă spunem pe scurt în ce constau:

Prevenirea atacului DoS : comutatoarele vă permit să vă configurați toate porturile pentru a

detecta posibilele atacuri DoS cu trafic mare și trafic foarte specific. De exemplu, putem evita
atacurile Land Attack, TCP Xmasscan, TCP Null-Scan sau TCP SYNFIN, printre altele. În
funcție de comutator, vom avea câteva atacuri disponibile sau altele pentru a le evita.
Controlul furtunii : obiectivul acestei măsuri de securitate este de a împiedica un client cu fir să
trimită o mulțime de trafic unicast, multicast sau difuzat. Acest tip de atac are ca scop blocarea
sau prăbușirea rețelei, comutatorul se va ocupa de prevenirea acesteia.
Segmentarea traficului : am mai spus că putem segmenta rețeaua în diferite VLAN-uri cu
subrețele. Dacă vrem să izolăm un dispozitiv de un anumit port și VLAN 20 (de exemplu) de un
alt dispozitiv de pe același comutator care este și pe VLAN 20, putem configura „Segmentarea
traficului” pentru a evita comunicarea.
Alte configurații mai avansate pe care le putem realiza este să autentificăm fiecare dintre clienții
cu fir într-un server RADIUS sau TACACS, folosind protocolul 802.1X . Acest protocol ne
permite să autentificăm clienții cu fir care se conectează la switch, dacă nu se pot autentifica
automat, tot traficul pe care îl produce va fi refuzat. Este una dintre cele mai bune măsuri de
securitate pe care le putem configura într-un switch, deoarece ne va permite să autentificăm
clienții.

Odată ce am văzut principalele măsuri de securitate în comutatoare, vom vedea ce măsuri de

securitate putem pune în punctele de acces WiFi.